El software libre Asterisk da sustento a centrales telefónicas. Este tipo de software es también llamado PBX (Private Branch Exchange), es decir, que estamos hablando de Centrales telefónicas internas de empresas. Las llamadas entre usuarios de una misma empresa son manejadas en lineas locales, mientras el software “permite que entre todos los usuarios compartan un número determinado de lineas telefónicas externas. Su función principal es la de reducir los costos de tener una línea telefónica por cada usuario”.

Asterisk también permite conectar a un proveedor de VoIP, posee soporte para buzón de voz, conferencias, IVR, distribución automática de llamadas, etc., corriendo sobre cualquier sistema operativo, sea libre o no.

Las fallas descubiertas podrían hacer que un atacante externo cause denegación de servicio en un sistema.

Se recomienda la actualización a la versión 1.4.3, pero por el momento veamos cuáles son los problemas: hay errores de límite en el “parser T.38 SDP del canal SIP cuando procesa los parámetros SDP T38FaxRateManagement o T38FaxUdpEC en la función process_sdp() en Chan_sip.c.” (si aún estás leyendo esto, es porque estás muy de gusto o porque sos programador o porque además de todo eso utilizás Asterisk, si es por otro motivo, sería interesante que dejaras un comentario aquí en el blog…). En fin, el atacante puede aprovechar este fallo sólo si la configuración de t38_udptl está puesta en “Yes”.

El otro problema se debe a un error en la autenticación de Asterisk Remote Management Interface, por una falla en el puntero NULL. Así, un atacante podría lograr que el servicio no respondiera más. ¡A actualizar ya!

Más información:

http://www.opitel.com.do/html/glosario.html

http://es.wikipedia.org/wiki/Asterisk

http://lists.digium.com/pipermail/asterisk-announce/2007-April/000058.html

http://lists.digium.com/pipermail/asterisk-announce/2007-April/000059.html

http://lists.digium.com/pipermail/asterisk-announce/2007-April/000060.html